Comment activer le dispositif HSTS (HTTP Strict Transport Security) pour votre domaine ?
Le HTTP Strict Transport Security (HSTS) est une amélioration de sécurité opt-in spécifiée par une application/serveur Web via l’utilisation d’un en-tête de réponse spécial nommé « Strict Transport Security ». Une fois qu’un navigateur pris en charge reçoit cet en-tête, ce navigateur empêchera les connexions via HTTP vers le domaine spécifié et enverra à la place toutes les communications via HTTPS. En outre, HSTS spécifie une période de temps durant laquelle le navigateur (ou tout autre agent utilisateur) doit accéder au serveur uniquement de façon sécurisée.
Le dispositif HSTS aide à protéger les utilisateurs de sites web contre quelques attaques réseau passives et actives. Une attaque du type « man-in-the-middle » ne peut pas intercepter de requête tant que le HSTS est actif pour ce site.
Le HSTS permet de se prémunir notamment contre les attaques consistant à capturer votre trafic réseau HTTP vers n’importe quel site Web qui s’appuierait uniquement sur des redirections 301 pour basculer du HTTP en HTTPS.
Le HSTS force les navigateurs et les applications à utiliser, lorsque cela est possible, une connexion HTTPS. Même lorsque l’internaute tape uniquement « www » ou « http:// ».
Il ne suffit pas de configurer des redirections 301 pour sécuriser entièrement votre nom de domaine en basculant le trafic http:// vers https://. Le manque de sécurité de la redirection HTTP laisse en effet la porte ouverte à une éventuelle attaque.
Les étapes initiales présentées ci-après permettent de tester vos applications Web, la connexion utilisateur et la gestion de session.
Faites expirer le HSTS toutes les 5 minutes.
Continuez à le tester pendant une semaine et un mois.
Résolvez les problèmes qui pourraient survenir lors de votre déploiement.
Modifiez le paramètre « max-age=xxx ». Une semaine = 604800 ; un mois = 2592000.
Ajoutez le preload une fois les tests terminés.
Si vous trouvez que le HSTS fonctionne bien avec vos applications Web, modifiez « max-age » sur 63072000. Cela correspond à une durée de 2 ans — ce qu’exige le projet « Chromium » dans votre demande d’inscription sur la liste prédéfinie de sites dont la connexion doit se faire en HSTS !
Exigences permanentes du HSTS
- • Votre site Web doit avoir un certificat SSL valide installé et actif. Vérifiez que vos certificats sont correctement installés et fonctionnent bien.
- • Rediriger TOUS les liens HTTP vers HTTPS avec une redirection 301 (ou redirection permanente).
- • Votre certificat SSL doit couvrir TOUS les sous-domaines. Pour cela, il est nécessaire de commander un certificat de type Wildcard. Si ce n’est pas le cas, vous serez en sécurité avec un certificat SSL de validation de domaine (DV), à validation d’organisation (OV) ou à validation étendue (EV).
- • Envoyer un en-tête HSTS sur le domaine de base pour les requêtes HTTPS.
- • La paramètre « Max-age » doit être défini sur au moins 10886400 secondes ou 18 semaines. Optez pour la valeur « deux ans », comme indiqué plus haut.
- • La directive « includeSubDomains » doit, le cas échéant, être spécifiée !
- • La directive « preload » doit être spécifiée.
Si vous êtes client et que vous souhaitez activer le dispositif HSTS pour votre nom de domaine, ou simplement avoir plus d’informations, nous vous invitons à nous contacter :
• par email : support@safebrands.com
• par téléphone : +33 (0)4 88 66 22 23
Source : https://www.globalsign.com/fr/blog/qu-est-ce-que-le-hsts-comment-le-mettre-en-uvre